记一次 挖矿机处理 rm: cannot remove ‘tomcat’: Permission denied

在某次登录个人的云服务时，发现出现挖矿机程序。

1.找出病毒

当发现服务器卡的时候，我们可以采用top命令，如下显示

 

 

 我们注意到有个user为tomcat的用户 以及后的command后面为networkservice.这个命令很像我们的系统命令。

但是从CPU来看，占用很大。

2.确认病毒

我们可以用top命令 来查看几个占用资源很大的进程号。我们可以根据进程号来查找关联的其它的进程，可以通过以下命令：

systemctl status 27054

执行以上命令会出现该进程号相关联的进程。

为了获取绝对路径，使用：

ls -l /proc/{pid号}/exe

3.删除病毒

进入到/etc目录下，
我们可以看到有sysupdate、networkservice、sysguard三个文件，这三个文件都是二进制文件，这三个应该就是挖矿的主程序和守护程序。还有一个update.sh文件，这应该是对挖矿病毒升级用的。这个update.sh怎么找出来的呢，其实是通过定时程序里面的cron找出来的。

 

config.json（挖矿配置）、sysupdate（XMR挖矿软件）、update.sh（本脚本）、networkservice(scanner 扫描并入侵其他的主机)、sysguard(watchdog 用于监控并保证病毒的正常运行以及更新)并保证他们以root权限运行。

 

再进入到 /var/spool/cron看下定时程序
如下图所示

 

 这里我们使用命令lsattr -a 查

看文件下下边包含文件的属性，看到`./.有个'i'属性，代表不得任意更动文件或目录，正是此属性在作祟，因为 病毒使用了chattr +i的命令：

 

执行以下命令：

 

 再执行一下：lsattr -a

 

 这时再执行删除命令：rm -rf tomcat 

 

 发现原先不能删除的tomcat文件，此时可以删除了。

同样的道理 我们cd到/etc目录下 查看

sysupdate、networkservice、sysguard、update.sh和config.json几个文件
这时候，你可能会发现无法删除，因为病毒使用了chattr +i 命令，使用如下命令即可删除

chattr -i sysupdate
rm -rf sysupdate

每个无法删除的文件，都执行如上命令，即可实现删除文件

最后还有一个地方就是删除/root/.ssh/authorized_keys 

可能攻击者已经在这里配置了登陆，攻击者可以随便登陆你的服务器。

 

最后发现服务器没有那么卡了。